SSL VPN的优点
利用SSL VPN,各公司可以安全地将企业网扩展到任何授权用户,因为用户可以利用标准Web浏览器从提供互联网连接的任何地方建立与公司资源的远程访问连接。利用Web浏览器及其本地的SSL加密,用户可以从非公司拥有的机器,例如家用PC、互联网信息亭或无线热点接入企业网,通常IT部门不能在这些地点方便地为IPSec VPN连接部署和管理VPN客户端软件。在应用访问要求受限的地方,SSL VPN不需要使用预装VPN客户端软件。管理员可以对Web站点和公司应用提供定制的用户门户和精确的访问控制。不仅如此,由于公司防火墙通常允许建立SSL连接,因而不再需要其它网络配置。基于上述原因,SSL VPN可以方便地从任何位置穿越防火墙。
SSL VPN的风险
SSL VPN能够提高生产率,因为它能够从任何终端设备提供远程接入,与此同时,SSL VPN也带来了很多安全问题。将远程接入延伸到公司IT无法控制的位置和设备给公司资源带来了很高的安全风险。IT部门不但要对用户进行认证,还要担心终端远程接入环境的危险性。例如,当某人通过机场的远程接入点或家用PC接入网络时,会存在按键记录器等未知安全风险,虽然事务处理本身是加密的,但当这个人离开机器后,某些信息可能还存留在那里,后来者很有可能会访问到这些敏感的公司信息,甚至侵入公司网络本身。SSL VPN进程结束之后,可能会 在桌面或浏览器缓存中遗留下cookie、浏览器历史文件、临时文件、自动填写的密码和电子邮件附件。因此,对公司资源的访问很可能会给公司信息带来泄密风险。潜伏在终端系统上的病毒、蠕虫或恶意软件都在伺机收集敏感数据。
图1 SSL VPN安全风险
寻求平衡
SSL VPN解决方案必须包含可靠的终端安全方法,以便在SSL VPN用户进程结束之后彻底删除历史文件、临时文件、高速缓存、cookie、电子邮件附件、自动填写的密码及其它下载数据。开放和保护必须达到平衡,才能既发挥SSL VPN的灵活性,又不会降低公司资源的保密性(见图1)。
解决方案
Cisco® WebVPN 解决方案是一种简单、有效的方法,它能够在任何第三方计算机上创建完全安全、可以定制的SSL VPN进程,而且不会在进程结束之后遗留下任何数据。Cisco WebVPN的主要组件是思科安全桌面功能。思科安全桌面能够用一致、可靠的手段删除敏感数据的所有痕迹,为客户端系统上的进程和删除操作提供一个安全位置,这样,当远程用户退出或者SSL VPN进程超时之后,就不会在系统上遗留任何cookie、浏览器历史、临时文件、自动填写的密码和下载内容。如果对SSL VPN进程中涉及的所有数据和文件以及下载内容进行加密,还可以进一步防御数据被盗和客户端系统恶意软件。
安全数据删除
思科安全桌面功能能够以一致、可靠的方法彻底删除敏感进程的所有踪迹,因为它能够在客户端系统上创建加密硬盘分区,然后创建一个与普通桌面独立的虚拟桌面。所有进程操作都在安全的虚拟桌面环境中进行,所有数据都将写入加密的硬盘分区中。由于这种方法为客户端系统上的进程操作和删除提供了统一的安全位置或安全基地,因而能有效解决相关的最终用户系统许可和浏览器偏好设置等问题。当SSL VPN进程结束时,历史文件、临时文件、高速缓存、cookie、电子邮件附件及其它下载数据都将被彻底覆盖,然后从这个安全基地中完全删除,不留一丝痕迹(见图2)。
图2 思科安全桌面 的加密“基地”
最全面的安全性
思科安全桌面 的功能高于普通SSL VPN安全产品。所有信息从进程开始就进行加密,而不是在进程结束之后才加密。当进程突然中断或者因长时间不操作而超时,这个功能非常有用。不仅如此,思科安全桌面还能将所有进程信息保存在安全基地的桌面分区中,并在进程结束时使用国防部卫生算法来覆盖和删除所有数据,从而加强了终端的安全保护。
类似的高速缓存清除程序只能提供不完整的安全解决方案,它的作用是在进程结束时擦除浏览器的临时互联网高速缓存。虽然这项服务会起到一定作用,但由于很多信息都无法删除,因而提高了公司的泄密风险。高速缓存清除程序无法删除用户刻意保存的文件,只能删除浏览器历史文件、Internet Explorer插件、Active X控制件或者index.dat(Internet Explorer管理的专用URL表)中的信息。可能无法删除自动填写的密码,而且iNotes等很多其它应用可能会将用户浏览过的文件保存在一个特别的文件夹中,即使浏览器的高速缓存被清除,设备上的这个文件夹也可能被保留。即使是被删除的信息,也有可能利用相关工具予以恢复。
全面的策略模型
思科安全桌面 还能根据网络位置和网络设备类型(家用PC、互联网连接点或公司笔记本电脑)的不同制定不同的策略和规则,以便在不降低用户生产率的前提下有效保护所有保密信息。用户可以根据主机完整性检查,即确认终端系统上安装有防病毒软件、个人防火墙软件以及Windows操作系统和服务包,来激活特性。例如,某公司可能对所有承包商制定这样的策略:PC上必须安装个人防火墙软件才能接入企业网。如果未安装或未激活防火墙,就不允许用户接入网络,或者只能将用户转至独立的Web页面,提示用户下载个人防火墙软件。另外,公司还可以根据终端设备的不同规定下载思科安全桌面的时间。使用公司笔记本电脑的远程员工可能不需要思科安全桌面提供的高级保护,但从互联网连接点接入网络的员工则需要这种高级保护。思科安全桌面还可以规定下载的时间和地点。
结论
利用思科安全桌面,任何计算机都能够安全接入企业网,而且能够有效避免进程结束之后将数据遗留在接入设备上,既提高了生产率,又提高了安全性。
目前,可以对公司文件、Web、传统应用和客户端服务器应用提供安全的无客户端SSL VPN接入。各机构可以放心地从任何地方以安全的无客户端VPN接入方式访问任何网络资源。基于SSL VPN的远程接入不但能根据用户进行控制,还可以根据所使用的远程终端设备和环境进行控制。
思科安全桌面可以在支持Cisco WebVPN的以下平台上使用:
Cisco ASA 5500 系列安全设备, 7.1或更高版本软件
Cisco IOS 路由器, IOS 12.4(6)T或更高版本
Cisco VPN 3000 系列集中器, 4.7或更高版本
用于Cisco Catalyst 6500和 Cisco 7600系列的Cisco WebVPN服务模块, 1.2或更高版本